Artikel 94 EU-DSGVO: Aufhebung der Richtlinie 95/46/EG
- Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
- Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.
Kommentar zu Kapitel 4 DSGVO
Kapitel 4 der Datenschutzgrundverordnung (DSGVO) bezieht sich auf die Pflichten von Verantwortlichen und Auftragsverarbeitern und untergliedert sich in insgesamt vier Abschnitte. Hinsichtlich der Allgemeinen Pflichten (Art. 24-31 DSGVO) sind die Verantwortlichen und Auftragsverarbeiter verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, damit es zu keiner Verletzung des Datenschutzes kommt. In Art. 27 DSGVO ist festgelegt, dass auch Verantwortliche und Auftragsverarbeiter, die außerhalb der Europäischen Union (EU) niedergelassen sind, aber in der EU operieren, einen EU-Vertreter in einem Mitgliedsstaat benennen müssen. So soll sichergestellt werden, dass die personenbezogenen Daten von Personen in der EU auch außerhalb der EU geschützt werden. Zudem müssen Verantwortliche und Auftragsverarbeiter gemäß Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anfertigen, in der die Verarbeitung von personenbezogenen Daten umfassend festgelegt ist.
In Abschnitt 2 (Art. 32 bis Art. 34) ist normiert, dass Verantwortliche und Auftragsverarbeiter die Sicherheit personenbezogener Daten garantieren müssen und im Falle einer Datenpanne die zuständigen Behörden binnen 72 Stunden informiert werden müssen.
Abschnitt 3 (Art. 35, 36 DSGVO) bezieht sich auf die Datenschutz-Folgeabschätzung und verlangt, dass Verantwortliche u. U. eine Vorabkontrolle ihrer Verarbeitungstätigkeiten durchführen lassen müssen. So sollen die Notwendigkeit und die Risiken des Betroffenen hinsichtlich der Datenverarbeitung begutachtet werden.
In Abschnitt 4 ist die Benennung des Datenschutzbeauftragten mitsamt seinen Aufgaben geregelt (Art. 37-39 DSGVO).
Abschnitt 5 bezieht sich auf die Verhaltensregeln und Zertifizierung (Art. 40-43 DSGVO). Dies ist eine Form der Selbstregulierung: Das bedeutet, dass Branchenverbände oder Vereine, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern“ verarbeiten, sogenannte Verhaltensregeln in Hinblick auf den Datenschutz anfertigen lassen können und diese zur Anerkennung bei der zuständigen Aufsichtsbehörde vorlegen. In Hinblick auf die Zertifizierung können Verantwortliche und Auftragsverarbeiter die DSGVO-konforme Verarbeitung von personenbezogenen Daten, in Form eines Datenschutzsiegels, verifizieren lassen. Dies kann beispielsweise durch eine Datenschutzaufsichtsbehörde erfolgen.
Kapitel 4 der DSGVO regelt also umfassend, welche Pflichten und Aufgaben Verantwortliche und Auftragsverarbeiter erfüllen müssen, um personenbezogene Daten DSGVO-konform zu verarbeiten und zu schützen.